Contextos de transferencia de archivos
Estos objetos y grupos de ataque están diseñados para detectar patrones de ataque conocidos y anomalías de protocolo dentro del tráfico de red. Puede configurar objetos y grupos de ataque para protocolos de transferencia de archivos como condiciones de coincidencia en las reglas de política de IDP.
Contextos de servicio: FTP
La tabla muestra los detalles del contexto de seguridad para FTP:
Contexto y dirección |
Descripción Ejemplo de contextos |
|||
|---|---|---|---|---|
cuenta ftp (CTS) |
Coincide con el nombre de la cuenta de inicio de sesión FTP. |
|||
ftp-banner (STC) |
Hace coincidir la pancarta devuelta por el servidor al inicio de una sesión FTP.  |
|||
comando ftp (CTS) |
Hace coincidir cada uno de los nombres de comando FTP.  |
|||
ftp-cwd-pathname (CTS) |
Hace coincidir el nombre del directorio en el comando CWD de una sesión FTP.  |
|||
ftp-dele-pathname (CTS) |
Hace coincidir el nombre de archivo del comando DELE de una sesión FTP.  |
|||
ftp-get-filename (CTS) |
Hace coincidir el nombre de archivo del comando GET de una sesión FTP.  |
|||
ftp-list-pathname (CTS) |
Hace coincidir el directorio o nombre de archivo del comando LIST de una sesión FTP.  |
|||
ftp-mkd-pathname (CTS) |
Hace coincidir el nombre del directorio en el comando MKD de una sesión FTP.  |
|||
ftp-nlst-pathname (CTS) |
Hace coincidir el directorio o nombre de archivo del comando NLST de una sesión FTP. |
|||
contraseña ftp (CTS) |
Coincide con la contraseña de inicio de sesión FTP.  |
|||
ftp-pathname (CTS) |
Hace coincidir un nombre de directorio o archivo en cualquiera de los comandos FTP.  |
|||
ftp-put-filename (CTS) |
Hace coincidir el nombre de archivo del comando PUT de una sesión FTP.  |
|||
ftp-reply-100-line (STC) |
Coincide con la respuesta preliminar positiva de FTP 1yz.  |
|||
ftp-reply-200-line (STC) |
Coincide con la respuesta de finalización positiva de FTP 2yz.  |
|||
ftp-reply-300-line (STC) |
Coincide con la respuesta intermedia positiva de FTP 3yz.  |
|||
ftp-reply-400-line (STC) |
Coincide con la respuesta de finalización negativa transitoria de FTP 4yz. |
|||
ftp-reply-500-line (STC) |
Coincide con la respuesta de finalización negativa permanente de FTP 5yz.  |
|||
ftp-reply-line (STC) |
Coincide con la línea de respuesta FTP.  |
|||
ftp-request (CTS) |
Hace coincidir la línea de solicitud FTP (comando y argumentos).  |
|||
ftp-rmd-pathname (CTS) |
Hace coincidir el nombre del directorio en el comando RMD de una sesión FTP.  |
|||
ftp-rnfr-pathname (CTS) |
Hace coincidir un nombre de directorio o archivo en el comando RNFR de una sesión FTP.  |
|||
ftp-rnto-pathname (CTS) |
Hace coincidir un nombre de directorio o archivo en el comando RNTO de una sesión FTP.  |
|||
ftp-sitestring (CTS) |
Hace coincidir los argumentos del comando SITE en una sesión FTP.  |
|||
ftp-smnt-pathname (CTS) |
Hace coincidir el nombre de directorio o archivo del comando SMNT de una sesión FTP. |
|||
ftp-stat-pathname (CTS) |
Hace coincidir el nombre de directorio o archivo del comando STAT de una sesión FTP. |
|||
nombre de usuario ftp (CTS) |
Coincide con el nombre de usuario de inicio de sesión FTP.  |
|||
Contextos de servicio: NFS
La tabla muestra los detalles del contexto de seguridad para NFS:
Contexto y dirección |
Descripción Ejemplo de contextos |
|||
|---|---|---|---|---|
nfs-create-name (CTS) |
Hace coincidir el nombre de un archivo o directorio del procedimiento CREATE.  |
|||
nfs-dir-entry (STC) |
Hace coincidir el nombre de cada entrada de directorio devuelta por el procedimiento READDIR. |
|||
nfs-link-target (CTS) |
Hace coincidir el nombre del vínculo físico del procedimiento VÍNCULO. |
|||
nfs-lookup-name (CTS) |
Hace coincidir el nombre de un archivo o directorio del procedimiento LOOKUP.  |
|||
nfs-mkdir-name (CTS) |
Hace coincidir el nombre de un directorio del procedimiento MKDIR. |
|||
nfs-mknod-name (CTS) |
Hace coincidir el nombre del archivo especial del procedimiento MKNOD. |
|||
nfs-readlink-name (STC) |
Hace coincidir el nombre devuelto por el procedimiento READLINK |
|||
nfs-remove-name (CTS) |
Hace coincidir el nombre de un archivo del procedimiento REMOVE. |
|||
nfs-rename-from (CTS) |
Hace coincidir el nombre del archivo de origen o del directorio del procedimiento RENAME. |
|||
nfs-rename-to (CTS) |
Hace coincidir el nombre del archivo o directorio de destino en el procedimiento RENAME. |
|||
nfs-rmdir-name (CTS) |
Hace coincidir el nombre de un directorio del procedimiento RMDIR. |
|||
nfs-symlink-source (CTS) |
Hace coincidir el origen del vínculo simbólico en el procedimiento SYMLINK. |
|||
nfs-symlink-target (CTS) |
Hace coincidir el destino del vínculo simbólico en el procedimiento SYMLINK. |
|||
Contextos de servicio: SMB
La tabla muestra los detalles del contexto de seguridad para SMB:
Contexto y dirección |
Descripción Ejemplo de contextos |
|||
|---|---|---|---|---|
smb-account-name (ANY) |
Hace coincidir el nombre de la cuenta SMB en la solicitud SESSION_SETUP_ANDX de una sesión SMB.  |
|||
smb-atsvc-request (CTS) |
Hace coincidir todas las solicitudes de servicio de AT enviadas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función.  |
|||
smb-atsvc-response (STC) |
Hace coincidir las respuestas del servicio AT recibidas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función.  |
|||
smb-browser-request (CTS) |
Hace coincidir todas las solicitudes del explorador enviadas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función. |
|||
smb-browser-response (STC) |
Hace coincidir las respuestas del explorador recibidas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los dos primeros bytes de este contexto contienen el código de operación de la función. |
|||
smb-called-name (CUALQUIERA) |
Hace coincidir el nombre NetBIOS del iniciador de una sesión SMB. |
|||
smb-calling-name (ANY) |
Hace coincidir el nombre NetBIOS del receptor de una sesión SMB.  |
|||
smb-connect-path (CTS) |
Hace coincidir la ruta de conexión en la solicitud TREE_CONNECT_ANDX de una sesión SMB.  |
|||
smb-connect-service (CTS) |
Hace coincidir el servicio de conexión en la solicitud TREE_CONNECT_ANDX de una sesión SMB.  |
|||
smb-copy-filename (CTS) |
Hace coincidir el nombre de archivo de la solicitud COPY de una sesión SMB. |
|||
smb-data (CUALQUIERA) |
Hace coincidir cualquier porción de datos SMB.  |
|||
smb-dce-rpc (CUALQUIERA) |
Hace coincidir cualquier mensaje DCE/RPC enviado a través de la capa de transporte SMB.  |
|||
smb-dce-rpc-bind (CTS) |
Hace coincidir cualquier mensaje de enlace DCE/RPC enviado a través de la capa de transporte SMB.  |
|||
smb-dce-rpc-bind-ack (STC) |
Hace coincidir cualquier mensaje de enlace DCE/RPC enviado a través de la capa de transporte SMB.  |
|||
smb-dce-rpc-bind-nack (STC) |
Hace coincidir cualquier mensaje de enlace DCE/RPC enviado a través de la capa de transporte SMB. |
|||
smb-dce-rpc-request (CTS) |
Hace coincidir cualquier mensaje de solicitud DCE/RPC enviado a través de la capa de transporte SMB.  |
|||
smb-dce-rpc- request-obj-uuid (CTS) |
Hace coincidir el UUID de objeto de cualquier mensaje de solicitud DCE/RPC.  |
|||
smb-dce-rpc- respuesta (STC) |
Hace coincidir cualquier mensaje de respuesta DCE/RPC enviado a través de la capa de transporte SMB.  |
|||
smb-delete- filename (CTS) |
Hace coincidir el nombre de archivo de la solicitud DELETE de una sesión SMB. |
|||
smb-dialecto (CTS) |
Hace coincidir cada cadena de dialecto SMB en la solicitud NEGOTIATE de una sesión SMB. |
|||
encabezado smb |
Hace coincidir cualquier parte del encabezado SMB  |
|||
smb-lanman- solicitud (CTS) |
Hace coincidir cualquier solicitud LANMAN enviada como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función.   |
|||
smb-lanman- respuesta (STC) |
Hace coincidir las respuestas de LANMAN recibidas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función.  |
|||
smb-lsarpc- solicitud (CTS) |
Hace coincidir las solicitudes de autoridad de seguridad local enviadas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función. |
|||
smb-move- filename (CTS) |
Hace coincidir el nombre de archivo de la solicitud MOVE de una sesión SMB. |
|||
smb-native- lanman (CUALQUIERA) |
Hace coincidir el LANMAN nativo en la solicitud SESSION_SETUP_ANDX de una sesión SMB.  |
|||
smb-native-os (ANY) |
Hace coincidir el sistema operativo nativo en la solicitud SESSION_SETUP_ANDX de una sesión SMB.  |
|||
smb-open-filename (CTS) |
Hace coincidir el nombre de archivo en las solicitudes NT_CREATE_ANDX y OPEN_ANDX de una sesión SMB.  |
|||
smb-primary-domain (ANY) |
Hace coincidir el nombre de dominio principal SMB en la solicitud SESSION_SETUP_ANDX de una sesión SMB. |
|||
smb-rename-filename (CTS) |
Hace coincidir el nombre de archivo de la solicitud RENAME de una sesión SMB.  |
|||
smb-samr-request (CTS) |
Hace coincidir todas las solicitudes de Security Account Manager enviadas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función.  |
|||
smb-samr-response (STC) |
Hace coincidir las respuestas del Administrador de cuentas de seguridad recibidas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los primeros 2 bytes de este contexto contienen el código de operación de la función. |
|||
smb-session-header |
Hace coincidir cualquier parte del encabezado de sesión SMB  |
|||
smb-srvsvc-request (CTS) |
Hace coincidir todas las solicitudes de servicio de servidor enviadas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los dos primeros bytes de este contexto contienen el código de operación de la función.  |
|||
smb-svcctl-request (CTS) |
Hace coincidir todas las solicitudes de Service Control Manager enviadas como transacciones de canalización con nombre a través de la capa de transporte SMB. Los dos primeros bytes de este contexto contienen el código de operación de la función.  |
|||
smb-trans2-request (CTS) |
Hace coincidir cualquier solicitud de transacción SMB2.  |
|||
smb-trans2-response (STC) |
Hace coincidir cualquier respuesta de transacción SMB2.  |
|||
smb-trans2-set-path-info (CTS) |
Hace coincidir cualquier solicitud SET-PATH-INFORMATION de transacción SMB2.  |
|||
Contextos de servicio: TFTP
La tabla muestra los detalles del contexto de seguridad para TFTP:
Contexto y dirección |
Descripción Ejemplo de contextos |
|||
|---|---|---|---|---|
tftp-filename (CTS) |
Hace coincidir cualquier nombre de archivo en una sesión TFTP.  |
|||
tftp-get-filename (CTS) |
Hace coincidir el nombre de archivo get en una sesión TFTP.  |
|||
tftp-put-filename (CTS) |
Hace coincidir el nombre de archivo put en una sesión TFTP.  |
|||